Sicherheitsforscher gehen davon aus, dass finanziell motivierte Cyberkriminelle eine „erhebliche Menge an Daten“ von Hunderten von Kunden gestohlen haben, die ihre riesigen Datenbanken beim Cloud-Speichergiganten Snowflake hosten.
Die Incident-Response-Firma Mandiant, die mit Snowflake zusammenarbeitet, um die jüngste Flut von Datendiebstählen zu untersuchen, sagte in einem Blog-Beitrag am Montag dass die beiden Unternehmen rund 165 Kunden darüber informiert haben, dass ihre Daten möglicherweise gestohlen wurden.
Es ist das erste Mal, dass die Zahl der betroffenen Snowflake-Kunden bekannt gegeben wurde, seit die Account-Hacks im April begannen. Snowflake hat bisher wenig über die Angriffe gesagt, nur dass eine „begrenzte Zahl“ seiner Kunden betroffen sei. Der Cloud-Datenriese hat mehr als 9.800 Unternehmenskunden, darunter Gesundheitsorganisationen, Einzelhandelsriesen und einige der weltweit größten Technologieunternehmen, die Snowflake für die Datenanalyse verwenden.
Bisher haben nur Ticketmaster und LendingTree Datendiebstähle bestätigt, bei denen die gestohlenen Daten auf Snowflake gehostet wurden. Mehrere andere Snowflake-Kunden geben an, dass sie derzeit mögliche Datendiebstähle aus ihren Snowflake-Umgebungen untersuchen.
Mandiant sagte, dass die Drohkampagne „im Gange“ sei, was darauf schließen lässt, dass die Zahl der Firmenkunden von Snowflake, die Datendiebstähle melden, steigen könnte.
In sein Blog-BeitragMandiant führte die Hackerangriffe auf die Konten auf UNC5537 zurück, eine noch nicht als geheim eingestufte Cyberkriminelle, die laut der Sicherheitsfirma vor allem Geld machen will. Die Bande, die laut Mandiant Mitglieder in Nordamerika und mindestens ein Mitglied in der Türkei hat, versucht, ihre Opfer zu erpressen, damit sie zahlen, um ihre Dateien zurückzubekommen oder die Veröffentlichung der Daten ihrer Kunden zu verhindern.
Mandiant bestätigte, dass die Angriffe – bei denen „gestohlene Anmeldeinformationen verwendet werden, um auf die Snowflake-Instanz des Kunden zuzugreifen und letztlich wertvolle Daten zu exfiltrieren“ – mindestens auf den 14. April zurückgehen, als die Forscher erstmals Hinweise auf einen unzulässigen Zugriff auf die Umgebung eines nicht genannten Snowflake-Kunden fanden. Mandiant sagte, es habe Snowflake am 22. Mai über die Eindringlinge in die Konten seiner Kunden informiert.
Das Sicherheitsunternehmen gab an, dass die Mehrheit der von UNC5537 verwendeten gestohlenen Anmeldeinformationen „aus historischen Infostealer-Infektionen“ stammten, wobei einige bis ins Jahr 2020 zurückreichten. Die Ergebnisse von Mandiant bestätigen Snowflakes eingeschränkte Offenlegungdas angab, dass es keinen direkten Angriff auf die Systeme von Snowflake selbst gegeben habe, die Schuld jedoch auf die Kundenkonten des Unternehmens schob, da dort keine Multi-Faktor-Authentifizierung (MFA) verwendet wurde.
Letzte Woche stellte Tech fest, dass im Internet Hunderte von Snowflake-Kundenanmeldeinformationen kursierten, die von Malware gestohlen wurden, die die Computer von Mitarbeitern infizierte, die Zugriff auf die Snowflake-Umgebung ihres Arbeitgebers haben. Die Anzahl der online verfügbaren Anmeldeinformationen, die mit Snowflake-Umgebungen verknüpft sind, deutet darauf hin, dass ein anhaltendes Risiko für Kunden besteht, die ihre Passwörter noch nicht geändert oder MFA aktiviert haben.
Mandiant sagte, es habe außerdem „Hunderte von Snowflake-Anmeldeinformationen von Kunden durch Infostealer offengelegt“.
Snowflake seinerseits verlangt von seinen Kunden nicht, die Sicherheitsfunktion standardmäßig zu verwenden oder die Verwendung zu erzwingen. In einem kurzen Update am Freitag hat Snowflake erklärt, dass es „einen Plan entwickelt“, um die Verwendung von MFA auf den Konten seiner Kunden durchzusetzen, hat aber noch keinen Zeitplan vorgelegt.
Die Sprecherin von Snowflake, Danica Stanczak, wollte nicht sagen, warum das Unternehmen weder die Passwörter der Kunden zurückgesetzt noch die MFA erzwungen hat. Snowflake hat den Blogbeitrag von Mandiant am Montag nicht unmittelbar kommentiert.
Wissen Sie mehr über die Einbrüche in die Snowflake-Konten? Nehmen Sie Kontakt mit uns auf. Um diesen Reporter zu kontaktieren, kontaktieren Sie ihn über Signal und WhatsApp unter +1 646-755-8849 oder per E-Mail. Sie können Dateien und Dokumente auch über SecureDrop senden.